Län­der­über­grei­fen­de Kon­trol­le der Daten­schutz­auf­sichts­be­hör­den von Unter­neh­men zur Umset­zung der Schrems II Ent­schei­dung des Euro­päi­schen Gerichtshofs

Pres­se­infor­ma­ti­on der Lan­des­be­auf­trag­ten für den Daten­schutz und für das Recht auf Akten­ein­sicht vom 01.06.2021

Im Rah­men einer län­der­über­grei­fen­den Kon­trol­le wer­den Daten­über­mitt­lun­gen durch Unter­neh­men in Staa­ten außer­halb der Euro­päi­schen Uni­on oder des Euro­päi­schen Wirt­schafts­raums (Dritt­staa­ten) über­prüft. Das Ziel ist die brei­te Durch­set­zung der Anfor­de­run­gen des Euro­päi­schen Gerichts­hofs in sei­ner Schrems-II-Ent­schei­dung vom 16. Juli 2020 (Rs. C‑311/​18). Dar­in hat das Gericht fest­ge­stellt, dass Über­mitt­lun­gen in die USA nicht län­ger auf Basis des soge­nann­ten Pri­va­cy Shiel­ds erfol­gen kön­nen. Der Ein­satz der Stan­dard­da­ten­schutz­klau­seln für Daten­über­mitt­lun­gen in Dritt­staa­ten ist fer­ner nur noch unter Ver­wen­dung wirk­sa­mer zusätz­li­cher Maß­nah­men aus­rei­chend, wenn die Prü­fung des Ver­ant­wort­li­chen erge­ben hat, dass im Emp­fän­ger­staat kein gleich­wer­ti­ges Schutz­ni­veau für die per­so­nen­be­zo­ge­nen Daten gewähr­lei­stet wer­den kann. Das Urteil des EuGH erfor­dert in vie­len Fäl­len eine grund­le­gen­de Umstel­lung lan­ge prak­ti­zier­ter Geschäfts­mo­del­le und ‑abläu­fe.

Die an der Kon­trol­le teil­neh­men­den Behör­den – dar­un­ter die bran­den­bur­gi­sche Lan­des­da­ten­schutz­be­auf­trag­te – schrei­ben nun die jeweils aus­ge­wähl­ten Unter­neh­men auf der Basis eines gemein­sa­men Fra­ge­ka­ta­logs an. Dabei wird es unter ande­rem um den Ein­satz von Dienst­lei­stern zum E‑Mail-Ver­sand, zum Hosting von Inter­net­sei­ten, zum Web­tracking, zur Ver­wal­tung von Bewer­ber­da­ten und um den kon­zern­in­ter­nen Aus­tausch von Kun­den­da­ten und Daten der Beschäf­tig­ten gehen. Jede Auf­sichts­be­hör­de ent­schei­det indi­vi­du­ell, in wel­chen die­ser The­men­fel­der sie tätig wird.

Der Gerichts­hof hat sei­ne Erwar­tung klar for­mu­liert, dass die Behör­den unzu­läs­si­ge Trans­fers „aus­set­zen oder ver­bie­ten“. Das Aus­set­zen einer Über­mitt­lung kann vor­aus­sicht­lich in vie­len Fäl­len im koope­ra­ti­ven Dia­log mit den Unter­neh­men gelin­gen. Wo dies nicht mög­lich ist, wird mit den zur Ver­fü­gung ste­hen­den auf­sichts­be­hörd­li­chen Maß­nah­men reagiert. Die Auf­sichts­be­hör­den sind sich der beson­de­ren Her­aus­for­de­run­gen, die das EuGH-Urteil zu Schrems II für die Unter­neh­men in Deutsch­land und Euro­pa mit sich bringt, bewusst. Sie ste­hen für Ver­ständ­nis­fra­gen auch im wei­te­ren Ver­lauf des Prü­fungs­ver­fah­rens zur Ver­fü­gung, soweit dies nach Maß­ga­be der vor­han­de­nen Kapa­zi­tä­ten mög­lich ist.

Der Fra­gen­ka­ta­log zu den jewei­li­gen Fall­grup­pen kann am Ende die­ser Sei­te abge­ru­fen werden:

Die Pres­se­mit­tei­lun­gen der Lan­des­be­auf­trag­ten für den Daten­schutz und für das Recht auf Akten­ein­sicht Bran­den­burg kön­nen hier abge­ru­fen werden.